Accueil>Securité>Bastion d’HashiCorp
Boundary d'HashiCorp Logo

Bastion d’HashiCorp

Catégories :SecuritéMise à jour le :

Le tout nouveau produit d’HashiCorp est sorti il y a quelques heures. Celui-ci est un bastion à la mode 2.0, c’est à dire bien différent des autres projets Opensource que l’on connait (sshpass, bastillion, etc.)

En effet, ce nouveau bastion à de nombreux avantages :

  • Une interface web simple et efficace
  • Une API très complète
  • Une CLI
  • Modulaire (controleurs et workeurs)
  • Hautement disponible
  • Gestion des révocations
  • Gestion de groupes d’hosts, groupes d’utilisateurs
  • RBAC
  • Secrets dynamique dans Vault
  • Une excellente documentation
  • On peut facilement le tester (via le mode developpement)
  • Provider Terraform

Comment ça marche ?

Workflow Boundary

Les composants

Workflow components

OS supportés

  • Linux (Ubuntu/Debian CentOS Fedora et Amazon Linux)
  • Mac
  • Windows

L’installation

Pré-requis d’installation

  • Docker
  • Avoir puller l’image de PostgreSQL

L’installation en elle même est très simple, c’est un package (qui est en fait un binaire).

Je vous renvoi directement vers la documentation, car elle est très bien détaillée.

Mon feedback

Très beau travail opéré par la team HachiCorp ! Clairement des bastions OpenSource, il y en a très peu et celui-ci est convaincant.

Surtout pour les entreprises qui veulent une gestion centralisée, de la fédération, du HA, support des Cloud provider, etc.

Il y a évidement Teleport, mais les fonctionnalités gratuite sont très limités, pas de RBAC notamment, donc limitant, mais par contre il y a une fonctionnalité de session replay plutôt intéressante.

Bref, parlons de Boundary à présent.

Clairement, il fait le job pour une V0.10, en occurrence on a une gestion des hôtes, groupes d’hôtes, utilisateurs, groupes d’utilisateurs, RBAC, proxy, etc. Et en terme de connecteurs, on a du TCP seulement (SSH, RDP, PostgreSQL, mais d’autres à venir).

L’installation est très simple en mode développement pour un POC, pour la version prod-ready, c’est plus compliqué évidemment mais faisable en quelques minutes.

En quelques heures on peut le prendre en main, créer ses premiéres connexions et utilisateurs, mais évidemment il faut un peu plus de temps pour maitriser l’ensemble des fonctionnalités.

Je ne vous cache pas qu’il y a quelques bugs, mais ils sont trés réactif, y compris sur leur forum.

Les énormes avantages de celle solution sont l’API et la datasource Terraform, qui permet de faire de l’infrastructure as code assez facilement.

Nous sommes aux prémisses d’un bastion professionnel …

Evolution plante

Evolutions à venir

Logs

  • Audit logs pour avoir la liste des actions via l’API / IHM.
  • Access logs pour avoir la liste des connexions
  • Export vers ElasticSearch et autres plateformes

Métriques / Tracing

Support d’OpenTelemetry, ce qui sera parfait pour suivre l’activité avec précision.

Authentification

  • Gitlab
  • Github
  • AWS
  • Okta
  • Azure

Découverte des hôtes

Bientôt également l’auto discovery lié à Consul !

Conclusion

Je vais suivre de près cette solution et contribuer modestement, car elle mérite d’évoluer et concurrencer les acteurs professionnels qui facturent des milliers d’euros leurs solutions.

D’autres solutions OpenSource existent mais je fais confiance à HashiCorp pour pérenniser et professionnaliser cette solution.

Sources :

Publications similaires:

AWS WAF
The bastion OVH

1 Commentaire:

  1. Antho
    23 janvier 2021

    Bonjour,

    Vous avez pu tester l’auth ssh via couple public/private key?

    En effet, j’ai vu plusieurs vidéo/doc avec l’auth ssh via Boundary mais aucune ne parle de la config entre boundary et du serveur hormis les 3 clic clic dans l’interface. Je vois en général les gens initié la co ssh puis taper leur mot de passe..

    Cordialement,

Les commentaires sont fermés.